В настоящее время я пытаюсь понять, как обрабатываются и регистрируются учетные данные во всех (ну, в большинстве ...) случаях, возможных во время аутентификации.
Теперь, насколько я понимаю, LSA получает все запросы на аутентификацию, и в зависимости от используемого протокола он затем обрабатывает учетные данные.
Затем только протоколы CredSSP (= RDP right?) и NTML делают так, что пароль регистрируется в SAM, и это навсегда (потому что они go через NetLogon). Это правильно?
Для Kerberos, поскольку учетные данные не передаются NetLogon, они также не хранятся в SAM. Но ! Как и любые другие учетные данные, они зарегистрированы в LSASS, который несет учетные данные пользователя только во время его входа в сеанс. Я не уверен насчет этой части, и если она верна, то когда она избавляется от учетных данных для пользователя? Просто в конце сеанса?
(есть ли способ проверить, какие пользователи находятся в памяти LSASS и SAM без использования mimkatz или аналогичного?)
Если кто-то может зажечь меня это было бы здорово :) 1011
Хорошего дня!